Fehler "Problem beim Zugriff auf die Website" von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problem

Wenn ein Verbundbenutzer versucht, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune anzumelden, erhält der Benutzer die folgende Fehlermeldung von Active Directory-Verbunddienste (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Wenn dieser Fehler auftritt, zeigt die Adressleiste des Webbrowsers auf den lokalen AD FS-Endpunkt mit einer Adresse, die der folgenden ähnelt:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Ursache

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Die Einrichtung des einmaligen Anmeldens (Single Sign-On, SSO) über AD FS wurde nicht abgeschlossen.
  • Das AD FS-Tokensignaturzertifikat ist abgelaufen.
  • Die Ansprüche der AD FS-Clientzugriffsrichtlinie sind falsch eingerichtet.
  • Die Vertrauensstellung der vertrauenden Seite mit Microsoft Entra ID fehlt oder ist falsch eingerichtet.
  • Der AD FS-Verbundproxyserver ist falsch eingerichtet oder falsch verfügbar gemacht.
  • Das AD FS IUSR-Konto verfügt nicht über die Benutzerberechtigung "Identität eines Clients nach der Authentifizierung annehmen".

Lösung

Um dieses Problem zu beheben, verwenden Sie die methode, die für Ihre Situation geeignet ist.

Szenario 1: Das AD FS-Tokensignaturzertifikat ist abgelaufen

Überprüfen, ob das Tokensignaturzertifikat abgelaufen ist

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob das Tokensignaturzertifikat abgelaufen ist:

  1. Klicken Sie auf Start, auf Alle Programme, auf Verwaltung und dann auf AD FS (2.0)-Verwaltung.
  2. Klicken Sie im AD FS-Verwaltungskonsole auf Dienst, klicken Sie auf Zertifikate, und überprüfen Sie dann die Gültigkeits- und Ablaufdaten für das AD FS-Tokensignaturzertifikat.

Wenn das Zertifikat abgelaufen ist, muss es erneuert werden, um die SSO-Authentifizierungsfunktionalität wiederherzustellen.

Erneuern des Tokensignaturzertifikats (falls es abgelaufen ist)

Führen Sie die folgenden Schritte aus, um das Tokensignaturzertifikat auf dem primären AD FS-Server mithilfe eines selbstsignierten Zertifikats zu erneuern:

  1. Klicken Sie im gleichen AD FS-Verwaltungskonsole auf Dienst, klicken Sie auf Zertifikate, und klicken Sie dann unter **Zertifizierungen ** im Bereich Aktionen auf Token-Signing Zertifikat hinzufügen.
  2. Wenn die Warnung "Zertifikate können nicht geändert werden, während das feature für automatisches AD FS-Zertifikatrollover aktiviert ist" angezeigt wird, fahren Sie mit Schritt 3 fort. Überprüfen Sie andernfalls das Gültigkeitsdatum und das Ablaufdatum des Zertifikats . Wenn das Zertifikat erfolgreich verlängert wurde, müssen Sie die Schritte 3 und 4 nicht ausführen.
  3. Wenn das Zertifikat nicht erneuert wird, klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie auf den Ordner Windows PowerShell, klicken Sie mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
  4. Geben Sie an der Windows PowerShell Eingabeaufforderung die folgenden Befehle ein. Drücken Sie die EINGABETASTE, nachdem Sie die einzelnen Befehle eingegeben haben:
    • Add-PSSnapin Microsoft.Adfs.PowerShell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Führen Sie die folgenden Schritte aus, um das Tokensignaturzertifikat auf dem primären AD FS-Server mithilfe eines von einer Zertifizierungsstelle (Ca) signierten Zertifikats zu erneuern:

  1. Erstellen Sie die Datei WebServerTemplate.inf. Gehen Sie dazu wie folgt vor:

    1. Starten Sie editor, und öffnen Sie ein neues, leeres Dokument.

    2. Fügen Sie Folgendes in die Datei ein:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. Ändern Sie in der Datei subject="CN=adfs.contoso.com" in Folgendes:

      subject="CN=Your-federation-service-name"

    4. Klicken Sie im Menü Datei auf Speichern unter.

    5. Klicken Sie im Dialogfeld ** Speichern unter auf Alle Dateien (.) ** im Feld Dateityp.

    6. Geben Sie webServerTemplate.inf in das Feld Dateiname ein, und klicken Sie dann auf Speichern.

  2. Kopieren Sie die Datei WebServerTemplate.inf auf einen Ihrer AD FS-Verbundserver.

  3. Öffnen Sie auf dem AD FS-Server ein Administratives Eingabeaufforderungsfenster.

  4. Verwenden Sie den Befehl cd(change directory), um in das Verzeichnis zu wechseln, in das Sie die INF-Datei kopiert haben.

  5. Geben Sie folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    CertReq.exe -New WebServerTemplate.inf AdfsSL.req

  6. Senden Sie die Ausgabedatei AdfsSL.req zum Signieren an Ihre Zertifizierungsstelle.

  7. Die Zertifizierungsstelle gibt einen signierten öffentlichen Schlüsselteil entweder im P7b- oder .cer-Format zurück. Kopieren Sie diese Datei auf Ihren AD FS-Server, auf dem Sie die Anforderung generiert haben.

  8. Öffnen Sie auf dem AD FS-Server ein Administratives Eingabeaufforderungsfenster.

  9. Verwenden Sie den Befehl cd(change directory), um in das Verzeichnis zu wechseln, in das Sie die P7b- oder .cer-Datei kopiert haben.

  10. Geben Sie folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    CertReq.exe :Accept "file-from-your-CA-p7b-or-cer"

Abschließen der Wiederherstellung der SSO-Funktionalität

Unabhängig davon, ob ein selbstsigniertes oder von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird, sollten Sie die Wiederherstellung der SSO-Authentifizierungsfunktionalität abschließen. Gehen Sie dazu wie folgt vor:

  1. Hinzufügen von Lesezugriff auf den privaten Schlüssel für das AD FS-Dienstkonto auf dem primären AD FS-Server. Gehen Sie dazu wie folgt vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc.exe ein, und drücken Sie dann die EINGABETASTE.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Doppelklicken Sie auf Zertifikate, wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.
    4. Wählen Sie Lokaler Computer aus, klicken Sie auf Fertig stellen, und klicken Sie dann auf OK.
    5. Erweitern Sie Zertifikate - Aktueller Benutzer, erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.
    6. Klicken Sie mit der rechten Maustaste auf das neue Tokensignaturzertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Private Schlüssel verwalten.
    7. Fügen Sie dem AD FS-Dienstkonto Lesezugriff hinzu, und klicken Sie dann auf OK.
    8. Beenden Sie das Zertifikat-Snap-In.
  2. Aktualisieren Sie den Fingerabdruck des neuen Zertifikats und das Datum der Vertrauensstellung der vertrauenden Seite mit Microsoft Entra ID. Informationen hierzu finden Sie im Abschnitt "Aktualisieren der Konfiguration der Microsoft 365-Verbunddomäne" unter Aktualisieren oder Reparieren der Einstellungen einer Verbunddomäne in Microsoft 365, Azure oder Intune.
  3. Erstellen Sie die KONFIGURATION der AD FS-Proxyvertrauensstellung neu. Gehen Sie dazu wie folgt vor:
    1. Starten Sie den AD FS-Windows-Dienst auf dem primären AD FS-Server neu.
    2. Warten Sie 10 Minuten, bis das Zertifikat in alle Mitglieder der Verbundserverfarm repliziert wurde, und starten Sie dann den AD FS-Windows-Dienst auf den restlichen AD FS-Servern neu.
    3. Führen Sie den Proxykonfigurations-Assistenten auf jedem AD FS-Proxyserver erneut aus. Weitere Informationen finden Sie unter Konfigurieren eines Computers für die Verbundserverproxyrolle.

Szenario 2: Sie haben kürzlich die Clientzugriffsrichtlinie über Ansprüche aktualisiert, und die Anmeldung funktioniert jetzt nicht mehr.

Überprüfen Sie, ob die Clientzugriffsrichtlinie ordnungsgemäß angewendet wurde. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Microsoft 365-Dienste basierend auf dem Standort des Clients.

Szenario 3: Der Verbundmetadatenendpunkt oder die Vertrauensstellung der vertrauenden Seite ist möglicherweise deaktiviert.

Aktivieren Sie den Verbundmetadatenendpunkt und die Vertrauensstellung der vertrauenden Seite mit Microsoft Entra ID auf dem primären AD FS-Server. Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie die AD FS 2.0-Verwaltungskonsole.
  2. Stellen Sie sicher, dass der Verbundmetadatenendpunkt aktiviert ist. Gehen Sie dazu wie folgt vor:
    1. Navigieren Sie im linken Navigationsbereich zu AD FS (2.0), Dienst, Endpunkte.
    2. Klicken Sie im mittleren Bereich mit der rechten Maustaste auf den Eintrag /Federation Metadata/2007-06/FederationMetadata.xml , und klicken Sie dann auf Aktivieren und Aktivieren für Proxy.
  3. Stellen Sie sicher, dass die Vertrauensstellung der vertrauenden Seite mit Microsoft Entra ID aktiviert ist. Gehen Sie dazu wie folgt vor:
    1. Navigieren Sie im linken Navigationsbereich zu AD FS (2.0), dann zu Vertrauensstellungen und dann Vertrauensstellungen der vertrauenden Seite.
    2. Wenn Microsoft Office 365 Identity Platform vorhanden ist, klicken Sie mit der rechten Maustaste auf diesen Eintrag, und klicken Sie dann auf Aktivieren.
  4. Reparieren Sie die Vertrauensstellung der vertrauenden Seite mit Microsoft Entra ID, indem Sie den Abschnitt "Update trust properties" von Verify and manage Single Sign-On with AD FS (Überprüfen und Verwalten des einmaligen Anmeldens mit AD FS) lesen.

Szenario 4: Die Vertrauensstellung der vertrauenden Seite fehlt oder beschädigt

Entfernen Sie die Vertrauensstellung der vertrauenden Seite, und fügen Sie sie erneut hinzu. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich beim AD FS-Kernserver an.
  2. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Verwaltung, und klicken Sie dann auf AD FS (2.0)-Verwaltung.
  3. Erweitern Sie im Verwaltungskonsole AD FS (2.0) und Vertrauensstellungen, und erweitern Sie dann Vertrauensstellungen der vertrauenden Seite.
  4. Wenn Microsoft Office 365 Identity Platform vorhanden ist, klicken Sie mit der rechten Maustaste auf diesen Eintrag, und klicken Sie dann auf Löschen.
  5. Fügen Sie die Vertrauensstellung der vertrauenden Seite erneut hinzu, indem Sie den Abschnitt "Eigenschaften der Vertrauensstellung aktualisieren" unter Überprüfen und Verwalten des einmaligen Anmeldens mit AD FS anzeigen.

Szenario 5: Das AD FS-Dienstkonto verfügt nicht über die Benutzerberechtigung "Annehmen der Identität eines Clients nach der Authentifizierung"

Informationen zum Erteilen der Benutzerberechtigung "Identität eines Clients nach der Authentifizierung annehmen" für das AD FS-IUSR-Dienstkonto finden Sie unter Ereignis-ID 128 – Windows NT-tokenbasierte Anwendungskonfiguration.

References

Weitere Informationen zur Behandlung von Anmeldeproblemen für Verbundbenutzer finden Sie in den folgenden Microsoft Knowledge Base-Artikeln:

  • 2530569 Behandeln von Problemen beim Einrichten des einmaligen Anmeldens in Microsoft 365, Intune oder Azure
  • 2712961 Behandeln von Problemen mit der Ad FS-Endpunktverbindung, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.